Wer ist betroffen und bestehen Abgrenzungfragen?
Einrichtungen, die unter das BSI-Gesetz (BSIG) als deutsche Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) fallen, müssen sich bis zum 6. März im Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren. Schätzungen zu Folge haben sich zu dem Stichtag jedoch nur etwa 5.000 bis 6.000 Einrichtungen registriert – und damit deutlich weniger als die Zahl der tatsächlich zu erwartenden betroffenen Einrichtungen. Der Grund für die Verzögerung liegt regelmäßig darin, dass viele Einrichtungen bei der Prüfung ihrer Betroffenheit auf Unsicherheiten und Abgrenzungsfragen stoßen. Das gilt insbesondere für den Gesundheitssektor.
Trotz der in den Anlagen 1 und 2 des BSIG genannten Einrichtungsarten bestehen in der Praxis häufig Unsicherheiten. Das liegt insbesondere an offenen Formulierungen, fehlenden Definitionen zentraler Begriffe sowie zahlreichen Verweisen auf andere europäische und nationale Rechtsakte. Gerade im Gesundheitssektor müssen Einrichtungen häufig mehrere Regelwerke berücksichtigen, um zu bestimmen, ob sie unter das BSIG fallen.
Erbringer von Gesundheitsdienstleistungen
Von Anlage 1 Nr. 4 BSIG im Sektor “Gesundheit” erfasst sind Erbringer von Gesundheitsdienstleistungen. Das Gesetz verweist dabei auf die Patientenmobilitätsrichtlinie (Richtlinie 2011/24/EU). Nach Art. 3 lit. g dieser Richtlinie ist ein Gesundheitsdienstleister jede natürliche oder juristische Person oder sonstige Einrichtung, die […] rechtmäßig Gesundheitsdienstleistungen erbringt. Gesundheitsdienstleistungen werden im Rahmen der Definition der Gesundheitsversorgung (Art. 3 lit. a) definiert als Dienstleistungen, die von Angehörigen der Gesundheitsberufe gegenüber Patienten erbracht werden, um deren Gesundheitszustand zu beurteilen, zu erhalten oder wiederherzustellen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.
Der Begriff ist weit gefasst und erfasst damit deutlich mehr als nur Krankenhäuser oder Arztpraxen. Gerade diese weite Formulierung in Verbindung mit dem Verweis des BSIG auf die Patientenmobilitätsrichtlinie führt in der Praxis zu Abgrenzungsfragen, etwa bei Rettungsdiensten oder Pflegeeinrichtungen.
Rettungsdienste
In der Praxis wurde zuletzt intensiv diskutiert, ob Rettungsdienste als Gesundheitsdienstleister gelten. Auslöser war eine BSI-Information, die Rettungsdienste zunächst nicht als solche einordnete. Diese Einschätzung hat das BSI inzwischen revidiert und stuft Rettungsdienste nunmehr als Gesundheitsdienstleister im Sinne des BSIG ein.
Das Ergebnis mag im Hinblick auf den Sinn und Zweck des BSIG und den weiten Begriff der Gesundheitsdienstleistungen nachvollziehbar erscheinen. Die rechtliche Herleitung bleibt bislang jedoch unklar, wie Stefan Hessel dazu ausführt. Der Europäische Gerichtshof hat bereits 2019 entschieden, dass Notfallrettung und qualifizierter Krankentransport der Gefahrenabwehr und damit der öffentlichen Sicherheit zuzuordnen sind (EuGH, Urteil vom 27.06.2019 – C‑465/17). Für Tätigkeiten im Bereich der öffentlichen Sicherheit enthält Art. 2 Abs. 7 der NIS-2-Richtlinie jedoch eine ausdrückliche Ausnahme vom Anwendungsbereich. Vor diesem Hintergrund bleibt erklärungsbedürftig, weshalb das BSI Rettungsdienste nunmehr dem Gesundheitssektor zuordnet und damit in den Anwendungsbereich des BSIG einbezieht.
Pflegeeinrichtungen
Bei Pflegeeinrichtungen ist zwischen Kurzzeitpflege und Langzeitpflege zu unterscheiden. Die Langzeitpflege ist vom Anwendungsbereich des BSIG ausgenommen. Die Patientenmobilitätsrichtlinie enthält eine entsprechende Ausnahme für Dienstleistungen, deren Ziel darin besteht, Personen bei routinemäßigen, alltäglichen Verrichtungen zu unterstützen. Auch die Gesetzesbegründung zum BSIG geht davon aus, dass Einrichtungen der Langzeitpflege nicht als Gesundheitsdienstleister im Sinne des Gesetzes gelten.
Dogmatisch wurde diese Ausnahme teilweise diskutiert, da die NIS-2-Richtlinie selbst keine Ausnahme für Langzeitpflege enthält und auch nicht auf die Ausnahme der Patientenmobilitätsrichtlinie verweist. Für eine entsprechende Auslegung spricht jedoch der aktuelle Vorschlag der EU-Kommission zur Änderung der NIS-2-Richtlinie, der die Langzeitpflege nun ausdrücklich vom Anwendungsbereich ausschließen soll.
In der Praxis stellt sich daher die Frage der Abgrenzung zwischen Langzeit- und Kurzzeitpflege. Diese erfolgt funktional: Die Langzeitpflege betrifft primär die Unterstützung bei Aktivitäten des täglichen Lebens, nicht jedoch die medizinische Behandlung einer Krankheit, welche der Gesundheitsdienstleistung zuzuordnen ist. Eine unionsrechtlich verbindliche zeitliche Schwelle für den Begriff der Langzeitpflege existiert nicht. In der Praxis kann jedoch eine Orientierung an § 14 Abs. 1 SGB XI und § 2 SGB IX (sechs Monate) sachgerecht sein.
Hersteller von Medizinprodukten und IVD
Auch im Sektor “Verarbeitendes Gewerbe/Herstellung von Waren” im Bereich der Hersteller von Medizinprodukten und IVD (Anlage 2 Nr. 5 BSIG) bestehen in der Praxis Abgrenzungsfragen. Dies betrifft insbesondere Unternehmen, die Produkte nicht selbst herstellen, sondern herstellen lassen, umverpacken und anschließend unter eigenem Namen vertreiben.
Weder das BSIG noch die NIS-2-Richtlinie enthalten eine eigene Herstellerdefinition. Das BSIG verweist – wie auch die Richtlinie – auf die Medizinprodukte-Verordnung (MDR) und die In-vitro-Diagnostika-Verordnung (IVDR). Nach diesen produktrechtlichen Regeln ist Hersteller jede natürliche oder juristische Person, die ein Produkt entwickelt oder herstellen lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt. Der Fokus liegt somit auf der Marktverantwortung für das Produkt, nicht zwingend auf dem operativen Produktionsprozess. Diese Definition folgt der Logik des Produktsicherheitsrechts.
Ziel der NIS-2-Regulierung ist jedoch die Cybersicherheit kritischer Einrichtungen. Maßgeblich ist daher insbesondere die Kritikalität der Einrichtung und ihrer operativen Prozesse. Zudem verweist NIS‑2 auf unterschiedliche europäische Regelwerke, die unterschiedliche Herstellerbegriffe verwenden. So knüpfen etwa die REACH-Verordnung oder die NACE-Systematik an den tatsächlichen Herstellungsprozess. In der Literatur (so auch Hessel/Schneider, MMR 2025, 243) wird deshalb betont, dass der europäische Gesetzgeber keine uneinheitliche Herstellerdefinition zugrunde legen wollte. Vielmehr ist ein eigenständiger, cybersicherheitsbezogener Herstellerbegriff heranzuziehen. Danach ist Hersteller derjenige, der den operativen Herstellungsprozess tatsächlich durchführt.
Fazit
Die Betroffenheitsprüfung nach NIS‑2 bleibt gerade im Gesundheitssektor komplex. Offene Begriffe, zahlreiche Verweise auf andere EU-Regelwerke und unterschiedliche regulatorische Zielrichtungen führen dazu, dass die Einordnung einzelner Einrichtungen häufig nicht auf den ersten Blick möglich ist.
Für die Praxis bedeutet das: Einrichtungen sollten ihre Betroffenheit nicht allein anhand formaler Kategorien, sondern anhand der konkreten Tätigkeit und ihrer funktionalen Rolle im Gesundheitssektor prüfen. Gerade in Grenzbereichen kann eine differenzierte Einordnung entscheidend sein. Die Einordnung ist komplex, die Umsetzung anspruchsvoll und zeitkritisch. Wenn Sie Fragen haben oder Unterstützung bei der Umsetzung von NIS‑2 benötigen, stehen wir Ihnen jederzeit zur Verfügung.
Prüfen Sie jetzt die Betroffenheit Ihres Unternehmens mit unserem kostenlosen NIS‑2 Quick-Check.
zurück